Vous n'êtes pas identifié.
Annonce
Annonce 1 : Le Codex en français a besoin de vous pour avancer !
Annonce 2 : Avant de poster, n'oubliez pas de faire une petite Recherche et de lire les règles de ce forum.
Annonce 3 : Lisez notre blog, il regorge de bonnes informations.
#1 12-02-2008 12:16:51
- Livio
- Membre WP
- Date d'inscription: 12-02-2008
- Messages: 4
Mot de passe en clair dans wp-config, danger non ?
Bonjour à tous,
Je viens d'installer Wordpress, et quelque chose m'inquiète fortement:
le mot de passe de l'hébergeur figure en clair dans le fichier wp-config,
ce qui me semble assez dangereux niveau sécurité !
Y a-t-il une parade quelconque, un moyen de rendre ce mot de passe inaccessible ???
Merci 
Hors ligne
#2 12-02-2008 12:57:07
- dlo
- Blogodépendant
- Date d'inscription: 10-04-2007
- Messages: 1513
Re: Mot de passe en clair dans wp-config, danger non ?
Sauf en cas de faille de sécurité de WordPress (ou de tout autre programme tournant sur le serveur) qui donnerait accès au contenu du répertoire à un éventuel hacker, il n'y a pas de raison de s'inquiéter pour le mot de passe contenu dans wp-config.php.
En effet, ce fichier est un fichier php, donc il sera interprété et son contenu ne sera jamais affiché (sauf si le module PHP venait à être désactivé sur le serveur mais là, pas grand chose à faire...). De plus, le fait d'avoir un fichier index.php dans le même répertoire empêche l'affichage du contenu de ce même répertoire.
Conclusion: Pas de panique !
Sinon pour les plus paranoïaques, il est toujours possible d'ajouter ces protections:
1) Mettre le fichier wp-config.php en lecture seule par un CHMOD 0444 - Cela n'empêche pas de voir éventuellement le contenu mais il ne peut plus être modifié.
2) Interdire l'accès au fichier à tout le monde en ajoutant ceci dans le fichier .htaccess:
Code:
- # protect wpconfig.php
- <files wp-config.php>
- order allow,deny
- deny from all
- </files>
NB: Dans ce cas, il faut aussi penser à protéger son fichier .htaccess pour que personne ne puisse désactiver cette protection en le modifiant !!! Arrrgh, parano quand tu nous tiens !!!! 
Cordialement
Dernière modification par dlo (12-02-2008 13:02:35)
Non, je ne suis pas blogodépendant... C'est juste que je n'ai toujours pas trouvé la sortie de ce forum !
Hors ligne
#3 13-02-2008 04:37:39
- Livio
- Membre WP
- Date d'inscription: 12-02-2008
- Messages: 4
Re: Mot de passe en clair dans wp-config, danger non ?
dlo a écrit:
NB: Dans ce cas, il faut aussi penser à protéger son fichier .htaccess pour que personne ne puisse désactiver cette protection en le modifiant !!! Arrrgh, parano quand tu nous tiens !!!!
en le mettant également en lecture seule peut-être ?
à moins que Wordpress s'en serve en écriture également ..
dlo a écrit:
De plus, le fait d'avoir un fichier index.php dans le même répertoire empêche l'affichage du contenu de ce même répertoire.
C'est marrant, je venais justement de découvrir empiriquement cette astuce hier matin,
je me demandais bien comment empêcher la lecture des autres répertoires que celui de mon blog,
ne serait-ce que la racine de l'hébergement d'ailleurs,
et j'ai remarqué qu'effectivement en y plaçant simplement un index.html 'bidon' ,
le répertoire n'était plus browsable !! bon à savoir !
Il vaudrait d'ailleurs peut-être mieux mettre un index.php plutôt qu'un html, tant qu'à faire ?
C'est vrai que tout cela frise presque la paranoïa ,
mais en même temps, mieux vaut prévenir que guérir, dit-on ...
En tout cas , merci beaucoup pour cette réponse très complète qui éclaicit et résout mon inquiétude au sujet du password,
je vais donc implémenter ce .htacces
merci encore !
Hors ligne
